Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 141Compromission de clé privée

Compromission de masse d'Atomic Wallet

Une opération Lazarus a ciblé le logiciel Atomic Wallet, drainant 100 M$+ d'environ 5 500 utilisateurs et contournant les garanties de self-custody.

Date
Victime
Atomic Wallet
Chaîne(s)
BitcoinEthereumTronBNB Chain
Statut
Fonds dérobés
Attribution
Lazarus Group (DPRK)

Le 3 juin 2023, les utilisateurs du wallet auto-custodial estonien Atomic Wallet ont commencé à signaler que leurs soldes avaient été drainés sans leur consentement. En quelques jours, la firme d'analytique blockchain Elliptic a confirmé des pertes dépassant 100 millions de dollars sur plus de 5 500 wallets d'utilisateurs. C'était la plus grande compromission de masse d'un wallet auto-custodial à ce jour.

Ce qui s'est passé

Atomic Wallet est un wallet multi-chaînes non custodial. La seed phrase de chaque utilisateur est générée et stockée localement sur son appareil, jamais envoyée aux serveurs d'Atomic — du moins en principe.

Le vecteur technique exact n'a jamais été publiquement divulgué par Atomic Wallet lui-même, mais le schéma on-chain était sans ambiguïté : sorties simultanées depuis des milliers de wallets utilisateurs indépendants, sur plusieurs chaînes, toutes routées via le même ensemble d'adresses contrôlées par l'attaquant. Le schéma est compatible avec l'une des deux possibilités suivantes :

  1. Un mécanisme de mise à jour logicielle compromis qui a poussé un build malveillant vers les appareils utilisateurs, exfiltrant les seed phrases.
  2. Une vulnérabilité dans le code de génération de clés, de stockage de clés ou de chiffrement de sauvegarde d'Atomic qui a permis à un attaquant de dériver les seeds en masse.

Dans les deux cas, le modèle de confiance des wallets « auto-custodiaux » a été brisé au niveau applicatif — chaque dérivation de clé dépendait de la sécurité et de l'intégrité du code d'Atomic.

Elliptic et d'autres firmes ont attribué l'opération au groupe Lazarus sur la base des schémas de blanchiment et de l'utilisation de ponts inter-chaînes suivis de dépôts sur mixeur correspondant à des opérations nord-coréennes antérieures.

Conséquences

  • Atomic Wallet a reconnu l'incident mais a initialement affirmé que « moins de 0,1 % des utilisateurs » étaient affectés — un chiffre qui n'a pas survécu au contact avec les données on-chain.
  • Une action collective a été déposée contre Atomic Wallet et son propriétaire en 2023 ; les utilisateurs affectés ont fait valoir que l'entreprise avait représenté de manière trompeuse sa posture de sécurité.
  • Les fonds volés ont été blanchis via Sinbad, Tornado Cash et diverses routes inter-chaînes.
  • Aucune récupération publique.

Pourquoi c'est important

Atomic Wallet a brisé l'hypothèse selon laquelle auto-custodial signifie automatiquement à l'abri d'une compromission de masse. Si des milliers d'utilisateurs exécutent le même logiciel de wallet, ce logiciel est une cible centralisée — et une compromission de la chaîne d'approvisionnement logicielle (pipeline de build, serveur de mise à jour, clé de signature) peut équivaloir à une compromission de chaque utilisateur servi. La leçon se répète dans l'attaque sur la chaîne d'approvisionnement de Bybit deux ans plus tard, à une échelle bien plus grande.

Sources & preuves on-chain

  1. [01]elliptic.cohttps://www.elliptic.co/blog/analysis/north-korea-linked-atomic-wallet-heist-tops-100-million
  2. [02]decrypt.cohttps://decrypt.co/144444/north-korean-hackers-pocket-over-100-m-in-atomic-wallet-heist
  3. [03]classaction.orghttps://www.classaction.org/news/class-action-filed-over-2023-atomic-wallet-data-breach-in-which-100m-in-crypto-assets-was-stolen

Dépôts liés